MiFID II Aufzeichnungspflicht: Anlageberatung DSGVO-konform transkribieren

MiFID II Aufzeichnungspflicht: Anlageberatung DSGVO-konform transkribieren

Seit dem 3. Januar 2018 sind Wertpapierdienstleister in der EU verpflichtet, Telefongespräche und elektronische Kommunikation aufzuzeichnen, wenn diese im Zusammenhang mit Geschäften für eigene Rechnung oder mit der Annahme, Übermittlung und Ausführung von Kundenaufträgen stehen. Diese Pflicht ergibt sich aus Artikel 16 Absatz 7 der Richtlinie 2014/65/EU (MiFID II) und ist in Deutschland in § 83 Absatz 3 WpHG umgesetzt.

Was als regulatorische Compliance-Maßnahme begann, ist inzwischen ein operativer Standard. Doch die rohe Aufzeichnung allein genügt selten — Banken, Vermögensverwalter und Anlageberater müssen die Inhalte auch durchsuchbar machen, für interne Prüfungen, für die Beweissicherung im Streitfall und für die Beantwortung von BaFin-Anfragen. Transkription wird damit zum Bindeglied zwischen gesetzlicher Pflicht und praktischer Auswertbarkeit.

Dieser Artikel erklärt, welche Aufzeichnungs- und Aufbewahrungspflichten konkret bestehen, welche datenschutzrechtlichen Anforderungen gleichzeitig zu erfüllen sind und wie sich beide Welten ohne Reibung verbinden lassen.

Was MiFID II konkret verlangt

Artikel 16 Absatz 7 MiFID II sowie die delegierte Verordnung (EU) 2017/565 (Art. 76) fordern die Aufzeichnung sämtlicher Telefongespräche und elektronischer Kommunikation, die zu Wertpapiergeschäften führen können — auch dann, wenn das Gespräch letztlich nicht in einen Auftrag mündet. Aufzuzeichnen sind:

• Anlageberatungsgespräche mit Privat- und Geschäftskunden
• Auftragsannahme und -übermittlung
• Eigenhandelsgespräche
• Interne Beratungen, sofern sie zu eigenhandel- oder kundenauftragsrelevanten Entscheidungen führen

Die Aufzeichnungen sind fünf Jahre aufzubewahren — auf Verlangen der zuständigen Aufsichtsbehörde sogar bis zu sieben Jahre. Sie müssen jederzeit ohne unzumutbaren zeitlichen Aufwand reproduzierbar und für die BaFin lesbar sein.

Warum reine Audio-Archivierung nicht reicht

Eine WAV-Datei in einem revisionssicheren Archiv erfüllt zwar formal die Aufbewahrungspflicht. Praktisch ist sie aber wertlos, sobald jemand Inhalt benötigt: Stichproben durch die Compliance-Abteilung, Beweisführung bei Beschwerden, Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO. Niemand hört sich 5.000 Stunden Telefonate an, um eine konkrete Aussage zu finden.

Eine Transkription mit Wort-Level-Zeitstempeln macht das Archiv durchsuchbar. Eine Suche nach "Risikoklasse 4" oder dem Namen eines Finanzinstruments findet in Sekunden jede Erwähnung — inklusive Zeitstempel, an dem der Berater diese Aussage getroffen hat. Genau das verlangt § 83 Abs. 6 WpHG, wenn von "geordneter und unmittelbar nachvollziehbarer" Dokumentation die Rede ist.

Die zwei Compliance-Achsen: WpHG und DSGVO

Banken und Wertpapierfirmen bewegen sich bei der Aufzeichnung in einem Spannungsfeld. Die MiFID-Pflicht verlangt umfassende Speicherung. Die DSGVO verlangt Datenminimierung, Zweckbindung und das Recht auf Löschung. Beides muss gleichzeitig erfüllt werden.

Rechtsgrundlage der Verarbeitung

Die Verarbeitung der aufgezeichneten Gespräche stützt sich auf Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung. Diese Rechtsgrundlage trägt jedoch nur die Verarbeitungszwecke, die unmittelbar aus MiFID II folgen: Aufzeichnung, Aufbewahrung, Bereitstellung gegenüber der BaFin, interne Compliance-Prüfungen. Sie trägt nicht die Nutzung der Daten für Marketing, Coaching, Vertriebsanalyse oder gar zum Training von Sprachmodellen.

Wer die Aufzeichnungen über die regulatorischen Zwecke hinaus nutzen will, braucht eine zusätzliche Rechtsgrundlage — in der Regel eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung muss freiwillig, informiert und widerrufbar sein.

Informationspflichten zu Beginn des Gesprächs

§ 83 Abs. 3 WpHG verpflichtet das Wertpapierdienstleistungsunternehmen, den Kunden vor Beginn der Aufzeichnung über die Aufzeichnung und ihre Speicherung zu informieren. In der Praxis bedeutet das den bekannten Hinweis: "Dieses Gespräch wird zu Aufzeichnungszwecken nach § 83 WpHG aufgenommen." Wird diese Information nicht gegeben, ist die Aufzeichnung formell rechtswidrig — auch wenn die Aufzeichnungspflicht selbst besteht.

Löschpflicht nach Fristablauf

Nach Ablauf der fünfjährigen (bzw. siebenjährigen) Aufbewahrungspflicht müssen die Aufzeichnungen gelöscht werden. Die DSGVO erlaubt keine "Aufbewahrung auf Vorrat" — Daten sind zu löschen, sobald der Verarbeitungszweck entfallen ist (Art. 17 Abs. 1 lit. a DSGVO). Wer Aufzeichnungen länger speichert als notwendig, riskiert Bußgelder nach Art. 83 DSGVO.

Ein Transkriptionsdienstleister muss diese Löschung technisch nachvollziehbar machen können. Audio-Datei, Transkript, Backups, Logs — alles muss innerhalb der vereinbarten Frist verschwinden. Dienste, die mit langfristiger Speicherung und KI-Training werben, sind für diesen Anwendungsfall ungeeignet.

Warum US-Cloud-Lösungen unter MiFID II problematisch sind

Die Aufsichtsmitteilungen der BaFin und der EBA betonen seit Jahren die Bedeutung der Datenhoheit bei regulatorischer Aufzeichnung. Auch wenn keine Norm explizit "EU-Server" vorschreibt, ergibt sich die Empfehlung aus mehreren Erwägungen:

• Schrems II (C-311/18): Der EuGH hat 2020 das Privacy Shield gekippt. Übermittlungen in die USA brauchen Standardvertragsklauseln plus zusätzliche Maßnahmen — und unterliegen weiter dem US CLOUD Act, der US-Behörden Zugriff erlaubt.
• EBA Outsourcing Guidelines (EBA/GL/2019/02): Kreditinstitute müssen kritische Auslagerungen — und MiFID-Aufzeichnungen sind kritisch — der Aufsicht melden. Außereuropäische Cloud-Anbieter erschweren den Nachweis der wirksamen Kontrolle.
• Berufsgeheimnis und Bankgeheimnis: Gespräche mit Anlagekunden können Bankgeheimnisse berühren. Eine Übermittlung an US-Anbieter ohne ausreichende Sicherungen kann § 203 StGB-relevant werden.

Wer einen Transkriptionsanbieter wählt, der im Hintergrund OpenAI Whisper API, Google Speech-to-Text oder AWS Transcribe nutzt, übermittelt damit MiFID-pflichtige Aufzeichnungen an US-Anbieter — auch wenn der Vertragspartner formal in der EU sitzt. Das ist regulatorisch riskant.

Workflow-Beispiel: Anlageberatung mit revisionsfähigem Transkript

So sieht ein typischer Workflow aus, wenn Aufzeichnung und Transkription korrekt aufgesetzt sind:

1. Anrufstart: Der Berater nimmt einen Kundenanruf entgegen. Die TK-Anlage spielt automatisch den Aufzeichnungshinweis ein.
2. Aufzeichnung: Das Gespräch wird in einem revisionssicheren Archiv (z. B. WORM-Speicher) abgelegt.
3. Transkription: Eine Nacht-Batch übergibt die Audio-Datei an den Transkriptionsdienst. Die Transkription wird auf Servern in Deutschland erstellt, ohne dass die Datei das EU-Rechtsgebiet verlässt.
4. Indexierung: Das Transkript wird zusammen mit Metadaten (Anrufnummer, Kundenkennung, Gesprächsdauer, Berater-ID) im internen Compliance-System abgelegt.
5. Speicherung: Sowohl Audio als auch Transkript bleiben fünf Jahre verfügbar. Wort-Level-Zeitstempel ermöglichen es, jede Aussage auf die exakte Sekunde der Original-Aufnahme zurückzuverfolgen.
6. Suche & Auswertung: Die Compliance-Abteilung kann das Archiv durchsuchen. Eine BaFin-Anfrage "Welche Gespräche enthielten Aussagen zur Verlustwahrscheinlichkeit von Produkt X?" wird in Minuten statt Tagen beantwortet.
7. Löschung: Nach Ablauf der Frist werden Audio, Transkript und alle Backups automatisiert gelöscht.

Audit-Trail durch Wort-Level-Zeitstempel

Ein technisches Detail, das in der Praxis den Unterschied macht: jede transkribierte Aussage muss sich der ursprünglichen Audio-Stelle zuordnen lassen. DeepScript liefert jedes Wort mit Start-/End-Zeitstempel und Confidence-Wert. Im Streitfall lässt sich damit nicht nur belegen, *was* gesagt wurde, sondern auch *wann* — und mit welcher Erkennungssicherheit das Transkript dies wiedergibt.

Genau dieser Audit-Trail ist es, der eine Transkription regulatorisch tragfähig macht. Eine reine Volltext-Wiedergabe ohne Zeitstempel ist für die Beweisführung deutlich schwächer.

Wie DeepScript Wertpapierdienstleister unterstützt

DeepScript ist für diesen Anwendungsfall passgenau aufgestellt:

• Eigene Server in Deutschland (Hetzner, ISO 27001-zertifiziert) — kein US-Hyperscaler, kein CLOUD-Act-Risiko, vollständig unter deutscher Jurisdiktion.
• Keine Drittanbieter-KI — DeepScript betreibt eigene Spracherkennungsmodelle. Es gibt keine API-Aufrufe an OpenAI, Google oder AWS. Ihre Aufzeichnungen verlassen unsere Infrastruktur nicht.
• AVV nach Art. 28 DSGVO — vollständiger Auftragsverarbeitungsvertrag, der die spezifischen Anforderungen regulierter Branchen abdeckt, inklusive Subunternehmerliste (ausschließlich EU).
• Konfigurierbare Aufbewahrung — Sie definieren die Speicherdauer (5 Jahre, 7 Jahre, projektspezifisch). Nach Ablauf werden Audio und Transkript automatisiert gelöscht; die Löschung wird im Audit-Log dokumentiert.
• Wort-Level-Zeitstempel — jedes transkribierte Wort enthält Start-/End-Zeit und Confidence-Wert. Ideal für regulatorische Beweisführung.
• API + MCP-Zugriff — Integration in bestehende Compliance-Plattformen über die REST-API. Wer AI-Agents zur Stichprobenauswertung einsetzen will, kann den Audio-Archive-Index über das Model Context Protocol anbinden.
• Speaker Diarization — automatische Trennung von Berater- und Kundenanteilen, was die Auswertung erheblich erleichtert.

Für Banken und Wertpapierfirmen bedeutet das: ein einziger Dienstleister erfüllt MiFID-Aufzeichnungsauswertung, DSGVO-Anforderungen und das Bedürfnis nach durchsuchbaren Audio-Archiven — ohne dass Daten EU-Boden verlassen.

Fazit

MiFID II ist kein Papiertiger. Die BaFin verhängt regelmäßig Bußgelder bei mangelhafter Aufzeichnungspraxis, und DSGVO-Bußgelder können bis zu 4 % des Konzernumsatzes erreichen. Beides gleichzeitig zu erfüllen ist machbar — aber nur mit Werkzeugen, die für regulierte Umgebungen gebaut wurden.

Die zentrale Frage bei der Auswahl eines Transkriptionspartners lautet nicht "Wie genau ist das Modell?", sondern: "Verlassen unsere Daten jemals die EU?" und "Lässt sich jede Verarbeitung lückenlos dokumentieren?". Wer diese beiden Fragen mit "Nein" bzw. "Ja" beantworten kann, hat einen tragfähigen Compliance-Stack.

DeepScript wurde mit genau diesen Anforderungen im Hinterkopf entwickelt. Mehr Details und ein Workflow-Beispiel für regulierte Branchen finden Sie auf unserer Lösungsseite für Financial Services.